Wyznaczenie inspektora ochrony danych
Inspektor ochrony danych na gruncie rozporządzenie będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych niż do tej pory jego odpowiednik – administrator bezpieczeństwa informacji (ABI). Co istotne, rozporządzenie przewiduje m.in obligatoryjne wyznaczenie inspektora ochrony danych w sytuacji, gdy główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii czyli np. o stanie zdrowia. W związku z tym dla przedsiębiorców z branży medycznej będzie obligatoryjne wyznaczenie Inspektora ochrony danych. Należy zaznaczyć, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów i jest dokonywane tylko przez jednego lekarza – w takiej sytuacji nie będzie miał on obowiązku powołania Inspektora.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Inspektor ochrony danych, podlegać będzie bezpośrednio najwyższemu kierownictwu administratora oraz za prawidłowe wypełnianie swoich zadań nie będzie mógł być przez administratora karany ani odwołany. Co ważne, administrator zobowiązany będzie do terminowego i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych – powinien korzystać z jego wiedzy i umiejętności.
Oszacowanie ryzyka dla podstawowych praw i wolności oraz wprowadzenie stosownych mechanizmów ochrony danych osobowych
Rozporządzenie nie wskazuje, jakie środki techniczne oraz organizacyjne gwarantują bezpieczeństwo przetwarzania danych osobowych. To administrator danych będzie musiał sam dobrać takie, które zapewnią odpowiedni stopień bezpieczeństwa przetwarzanych danych. Istotne przy tym będzie oszacowanie przez niego ryzyka, które pozwoli wybrać właściwe środki techniczne i organizacyjne mające na celu minimalizację tego ryzyka.
Obowiązek oceny skutków planowanych operacji przetwarzania dla ochrony danych
Podmioty z branży medycznej są zobowiązane do 25 maja 2018 roku, w związku z przetwarzaniem na dużą skalę danych szczególnych kategorii, do dokonania oceny skutków planowanych operacji dla ochrony danych. Taka ocena będzie musiała zawierać: opis planowanych operacji i celów przetwarzania, określenie czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia z uwzględnieniem prawnie uzasadnionych interesów osób, których dotyczą dane.
Obowiązek uprzednich konsultacji z organem nadzorczym
Gdy dany rodzaj przetwarzania będzie powodował wysokie ryzyko dla praw i wolności osób, których dane dotyczą, co potwierdzi ocena skutków dla ochrony danych, administrator danych zobowiązany będzie do przeprowadzenia uprzednich konsultacji z organem nadzorczym przed podjęciem działań. Ewentualny wniosek w ich sprawie w trybie art. 36 rozporządzenia (wraz z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych) powinien zostać wysłany do organu nadzorczego dnia 25 maja 2018 roku.
Utworzenie rejestru czynności przetwarzania
Rejestr musi zostać utworzony do 25 maja 2018 roku. Dla podmiotów z branży medycznej prowadzenie rejestru będzie obligatoryjne. Administrator będzie musiał zamieścić w nim takie informacje jak: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie, przedstawiciela administratora oraz inspektora ochrony danych; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, w razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń w tym wiążących reguł korporacyjnych – dokumentacja odpowiednich zabezpieczeń, o których mowa w art. 49 ust. 1 Rozporządzenia; jeżeli jest to możliwe: planowane terminy usunięcia poszczególnych kategorii danych, a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Wprowadzenie procedur zgłaszania naruszeń ochrony danych osobowych do GIODO
W przypadku naruszenia ochrony danych osobowych, czyli zajścia incydentu, administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, będzie zobowiązany zgłosić to organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Naruszeniem praw lub wolności osoby fizycznej jest m.in. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.
Z uwagi na to, że administratorzy danych będą zobligowani do zgłaszania naruszeń ochrony danych osobowych w tak krótkim czasie organizacje muszą przyjąć wewnętrzne polityki w zakresie zarządzania incydentami, w szczególności ich zgłaszania przez personel najwyższemu kierownictwu oraz dalszego postępowania w celu ograniczenia skutków incydentów, a ponadto kwestii zawiadamiania osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.
Zgłoszenie naruszenia ochrony danych do organu nadzorczego będzie musiało co najmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego od którego można uzyskać więcej informacji; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Rozporządzenie za niedostosowanie się do nowych przepisów i nie spełnienie powyższych obowiązków przewiduje karę w wysokości do 10.000.000 Euro, a w przypadku przedsiębiorców – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała wyższa kara.